Mikä on DSG?
Sveitsin tietosuojalaki (DSG) on nyt tarkistettu versio ensimmäisestä DSG:stä, joka tuli voimaan vuonna 1992. Uusi laki tulee voimaan 1.9.2023 alkaen tarkistetuilla ja päivitetyillä muutoksilla vastaamaan nykypäivän internet-ympäristön tarpeita. Tämän määräyksen tarkoituksena on suojata niiden henkilöiden yksityisyyttä ja perusoikeuksia, joiden tietoja käsitellään.
”Tällä lailla pyritään suojelemaan niiden luonnollisten henkilöiden yksityisyyttä ja perusoikeuksia, joiden henkilötietoja käsitellään.”
Tärkeimmät muutokset ensimmäiseen julkaisuun verrattuna ovat se, että yritysten on nyt selitettävä, miksi ne keräävät asiakkailtaan henkilötietoja, ja että heidän on ilmoitettava selkeästi, mitkä kolmannet osapuolet ovat mukana heidän henkilötietojensa jakamisessa. Yksityishenkilöillä on nyt myös oikeus tietää, kuinka kauan hänen tietojaan säilytetään ja mihin tarkoitukseen.
Ketä DSG koskee?
DSG koskee luonnollisia henkilöitä (entisiä oikeushenkilöitä) sekä kaupallisia ja ei-kaupallisia organisaatioita, jotka käsittelevät Sveitsin kansalaisten henkilötietoja.
DSG:n maantieteellinen kattavuus toimii samalla tavalla kuin GDPR. Tarkka määritelmä tässä on, että tämä asetus koskee tietosuoja-asioita, joilla on vaikutuksia Sveitsissä, vaikka ne olisivat aiheutettuja ulkomailla.
…”joilla on vaikutusta Sveitsiin, vaikka ne olisi aloitettu ulkomailla”.
DSG:n mukaiset velvollisuudet
Rekisterinpitäjien ja käsittelijöiden velvollisuudet
GDPR:n vaatimuksiin verrattavissa oleva DSG vaatii nyt yrityksiä luomaan ”rekisterin käsittelytoimista” (DSG:n 12 artikla). Vastuuhenkilö ja tilausten käsittelijä ovat ensisijaisesti vastuussa tästä. Tämän tulee sisältää seuraavat tiedot:
- Vastuuhenkilöiden henkilöllisyys
- tietojen käsittelyn tarkoitus
- Kuvaus rekisteröityjen luokista ja henkilötiedoista
- vastaanottajien luokka
- mikäli mahdollista, henkilötietojen säilytysaika tai tämän ajanjakson määrittämisessä käytetyt kriteerit;
- mikäli mahdollista, yleiskuvaus tietoturvan varmistamiseksi toteutetuista toimenpiteistä
- jos tietoja siirretään ulkomaille, maininta maasta ja takeista, joilla varmistetaan riittävä tietosuoja.
rekisteröidyn oikeudet
Kuten jo mainittiin, tämä laki keskittyy rekisteröidyn henkilötietojen suojaamiseen. Näin ollen rekisteröityä suojataan seuraavilla oikeuksilla:
- oikeus saada tietoja henkilötietojesi käsittelystä (revDSG:n 25-27 artikla),
- oikeus pyytää vastuuhenkilöä luovuttamaan henkilötietonsa tai siirtämään ne koneellisesti luettavassa muodossa toiselle vastuuhenkilölle maksutta. (revDSG:n 28 ja 29 artikla),
- oikeus siihen, että hänen tietojaan ei käytetä automatisoituihin yksittäisiin päätöksiin, joissa käytetään algoritmeja ilman, että ihminen puuttuu prosessiin (Art. 21 revDSG),
- Jos arkaluonteisia henkilötietoja käsitellään tai henkilöprofiileja luodaan, suostumus on annettava nimenomaisesti. Rekisteröidyn suostumus vaaditaan.
DSG:n täytäntöönpano
Federal Data Protection and Information Commissionerin (FDPIC) rooli
FDPIC on vastuussa FADP:n soveltamisesta ja noudattamisesta. Hän vastaa myös selvennyksistä, neuvonnasta ja henkilötietojen suojasta Sveitsissä. Viraston nimittää Bundesrat (Sveitsin liittohallituksen toimeenpaneva elin).
Seuraamukset ja sakot lainrikkomuksista
Jos henkilö rikkoo DSG:n lakeja, hänelle määrätään jopa 250 000 CHF:n sakko. Kuten GDPR:ssä, rangaistus ei ole sidottu yritykseen, vaan vastuussa olevaan luonnolliseen henkilöön.
Mitä sinun tulee tehdä noudattaaksesi DSG:tä
Aloita nyt ja varmista, että olet valmis ennen kuin FADP tulee voimaan syyskuussa 2023. Sveitsissä sijaitsevien yritysten tai jos harjoitat liiketoimintaa Sveitsissä, tulee ryhtyä seuraaviin toimenpiteisiin:
- Kirjaa ylös kaikki lain kannalta merkitykselliset tietojenkäsittelytoimesi.
- Sinulla on voimassa oleva tietosuojakäytäntö, joka täyttää kaikki GDPR:n vaatimukset.
- Varmista, että nimität tietosuojavastaavan (DPO), joka määrittää käytännöt ja menettelyt FDPIC:n mukaisesti.
- Jos tarvitset suostumuksen henkilötietojen käsittelyyn, varmista, että käytät CMP:tä, joka mahdollistaa kelvollisen suostumuksen keräämisen ja tallentamisen. Hankittava suostumus voidaan näyttää suostumusbannerina, jonka pitäisi näkyä käyttäjän ensimmäisellä vierailulla verkkokaupassasi tai yrityksen verkkosivuilla.
Johtopäätös
Ei ole yllättävää, että DSG:n nykyistä versiota suunnitellaan uudelleen tekniikan kehityksen tahdissa. Ja vaikka olisit jo GDPR-yhteensopiva, saatat silti joutua tekemään toimenpiteitä. Varmista, että organisaatiosi on vaatimusten mukainen ja että sillä on lainmukainen suostumustyökalu.
Etkö ole aivan varma, täyttääkö yrityksesi DSG:n tulevat vaatimukset? Keskustele asiantuntijamme kanssa tai tarkista suostumuksen hallintatyökalumme täältä .